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(57) Abr^g^ : La presente invention se rapporte k un pToc6d€ et i un systeme cryptographique de signature anonyme d*un message. 
Le procede consiste ^ completer la signature anonyme avec une signature additionnelle qui est calculee (13) ^ Taide d'une c\€ priv6e 
conmiune k T ensemble des membres d'un groupe autorises ^ signer et inconnue de tous les membres r6voqu6s. Cette cle priv^e est 
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et d'un dispositif comprenant un premier moyen de calcul. 
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PROCEDE ET DISPOSITIF DE SIGNATURE ANONYME AU MOYEN 
D'UNE CLE PRIVEE PARTAGEE 

Domaine de T invention 

La pr6sente invention se rapporte au domaine des telecommunications et plus 
particulidrement k la s6curisation des transmissions, en particulier pour des services, 
qui fait appel k la cryptographie. 

Etat de Tart 

Pour authentifier I'origine d*un docmnent transmis par des moyens de 
teieconmiunication, il a 6x6 d^veloppe des m^canismes de signature eiectronique. II 
faut noter que les termes transmission sous forme eiectronique sont couramment 
utilises pour qualifier une transmission d*im docvunent par des moyens de 
telecommunication. Les documents dont il est question dans ie context e de T invention 
se presentent obligatoirement sous forme numerique par opposition a une presentation 
sous forme papier ; le tenne message est utilise dans la suite de la demande pour 
designer ce type de document. Les m6canismes de signature 61ectronique les plus 
courants reposent sur des techniques de crypto graphie dites a cie publique qui mettent 
en jeu une entite dite autorite de confiance. HabitueUement, cette autorite de confiance 
genere des certificats pour le compte dutilisateurs des procedes courants k cle publique 
; ces certificats etablissent un lien entre une cie publique et Tidentite du proprietaire de 
cette cie. Pour mettre en oeuvre un tel precede, Tindividu signataire du message doit 
prealablement se faire cotifier aupres de I'autorite de confiance en lui communiquant 
au moins sa cie publique et son identite. Lors de sa mise en oeuvre, le procede de 
signature calcule une signature eiectronique du message en prenant en compte d*ime 
part le contenu du message et d'autre part la cie privee de Tindividu. Le signataire 
transmet au destinataire le message, la signature et son certificat. Le destinataire du 
message verifie la signature eiectronique du message k Taide d'au moins la cie 
publique et du contenu du message. 

Pour des applications particuUeres, telles que le vote eiectronique, les encheres 
eiectroniques ou le paiement eiectronique anonyme, il est necessaire de pouvoir 
disposer d*xme signature eiectronique dite anonyme. Une signature eiectronique 
anonyme a les m6mes caracteristiques qu'une signature eiectronique sauf que le 
destinataire ne peut determiner Tidentite du signataire ; le signataire garde I'anonymat. 
Toutefois, le destinataire peut s'adresser k Tautorite de confiance qui dispose, par 
rintermediaire du certificat, d'lm moyen pour lever I'anonymat. 
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Art ant6rieur 

Parmi les diff6rents types de signature anonyme, il existe iin type particulier 
appele signature anonyme de groupe. Un precede de signature anonyme de groupe 
permet k chaque membre d*un groupe de produire une signature Slectronique qui soit 
caract^ristique du groupe. Le destinataire d'lm message accompagn^ d'une signature 
anonyme de groupe peut v^ifier que la signature a 6t6 produite par un des membres du 
groupe. Toutefois il ne peut determiner, parmi les diffi§rents membres du groupe, le 
membre dont il s'agit. 

Dans le contexte de Tinvention, un groupe est un ensemble d'individus qui se 
d^larent auprds d\me autorit6 comme appartenant k un meme groupe. Lors de cette 
declaration, chaque individu interagit avec Fautorite de confiance selon un protocole 
determine k Tissue duquel Findividu obtient une cle privee, associee k une cl6 publique 
de groupe prealablement determinee par Fautorite de confiance, et I'autorite et 
rindividu obtiennent un identifiant de Tindividu associe k cette cl6 privee. Chacun de 
ces individus est dans la suite de la demande designe par le terme de membre. Un 
exemple d'xm tel protocole est d6crit dans Tarticle de J.Camenisch et M.Michels qui a 
pour reference "Efficient group signatiire signature schemes for large groups", In 
B.Kaliski, editor, Advances in Cryptology - CRYPT097, volume 1296 of LNCS, 
pages 410 k 424, Springer-Verlag, 1997. La meme interaction intervient lors de 
Tarrivee d'lm nouveau membre. L'existence d'un groupe se traduit du cdte de I'autorite 
de confiance par T attribution au groupe d'une cie publique dite de groupe et par 
I'attribution k chaque membre d'une cle priv6e associee k la cl6 publique, differente 
pour chaque membre, et d'un identifiant. A I'aide de sa cie privee, un membre peut 
produire une signature anonyme de groupe d'un message de son choix. Un destinataire 
quelconque peut verifier que cette signature a bien ete produite par un des membres du 
groupe k condition d'utiliser la cie publique de groupe. A Tissue de la verification, le 
destinataire a la certitude que la signature a ete produite, ou pas, par un membre du 
groupe, mais il n'obtient aucune information sur I'identifiant de ce membre, le 
signataire communique au destinataire uniquement son identifiant chiffre au moyen 
d*ime cie publique de Fautorite de confiance ; la signature est anonyme. Le destinataire 
a toutefois la possibilite de s'adresser k I'autorite de confiance qui peut determiner 
I'identite du signataire k partir de I'identifiant chifi&e qui accompagne la signature 
anonyme de groupe. L'autorite de confiance peut done lever I'anonymat a tout 
moment. 
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Apres constitution aupr^ de Tautorit^ de confiance, un groupe pent evoluer. 
Selon un premier type d'6volution, de nouveaux individus peuvent devenir membres 
du groupe. Selon un deuxiSme type d'6volution, des membres peuvent disparaitre, soit 
par le depart d'un individu du groupe, soit par T exclusion d'lm individu du groupe ; 
pour ce type d' Evolution, on parle de revocation. A chaque Evolution du groupe, 
Tautorite de confiance est confront^e aux probl^mes de donner ou de retirer h un 
membre du groupe les moyens de produire une signature anonyme du groupe. Le 
premier problteie pos6, qui reside dans Tattribution des moyens de produire une 
signature anonyme du groupe k im nouveau membre, est r^olu en utilisant un des 
algorithmes de generation de cl6 publique/cle priv6e connus qui permettent d'associer 
k une meme cle publique autant de cles priv6es que n^cessaire. Un exemple d'un tel 
algorithme est d^crit dans Tarticle de J.Camenisch et M.Michels qui a pour reference 
"Efficient group signature signature schemes for large groups", In B.Kaliski, editor. 
Advances in Cryptology - CRYPT097, volume 1296 of LNCS, pages 410 ^ 424, 
Spring er-Verlag, 1997. 

Le second probleme pose, qui reside dans le fait de retirer k un individu ces 
moyens, presente differentes solutions connues qui sont des proced6s de revocation. 

Un premier de ces proced6s est decrit dans Tarticle suivant de E. Bresson et J. 
Stem, « Efficient Revocation in group Signatures », in K. Kim, editor, Public Key 
Cryptography - PKC 2001, volume 1992 of LNCS, pages 190-206, Springer-Verlag, 
2001. Ce proc6d6 repose siu- le fait que chaque membre d*un groupe poss^de un 
identifiant qui lui est propre. Etant donn6 que la signature doit rester anonyme, il n*est 
pas possible de devoiler cet identifiant. Toutefois, selon le proc6d6, Tidentifiant du 
signataire est divise par celui de chaque membre r6voqu6 ; le r^sultat de la division est 
toujours different de 1 si et seulement si le signataire n*est pas lui-m6me un membre 
r6voqu6. Ensuite, le proc6d6 chiffire, avec un algorithme de chiffrement, chacun des 
resultats de ces divisions et transmet au destinataire ces resultats chiffr6s accompagnes 
d*elements determines. Le destinataire exploite les 616ments d6termin6s et les resultats 
chififr6s pour verifier d'une part que les divisions ont ete correctement effectu6es et 
d' autre part que tous les resultats sont differents de 1 ; c'est-^t-dire pour s'assurer que 
la signature a ete produite par un membre non revoqu6. 

Ce precede a pour inconvenient de gen^rer une signature anonyme de groupe 
dont la longueur et le temps de calcul augmentent proportionnellement au nombre de 
membres revoqu6s etant donn6 qu'il y a autant de resultats chiffrfe et d'^l^ments 
determines que de membres r^voques. 
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Un deuxifeme de ces proc6d6s de revocation est decrit dans T article de HJ. 
Kim, J.I. Lim et D.H. Lee qui a pour reference « Efficient and Secure Member 
Deletion in Group Signature Schemes », In D. Won, editor Information Security and 
Cryptology - ICISC 2000, volume 2015 of LNCS, pages 150 et s. Springer-Verlag 
2000. Ce proc6d6 consiste k utiliser trois cl^ suppl^mentaires en plus des cl6s 
n^cessaires k la r6ussite de la signature de groupe : ime cl6 privee de propri6t6 pour 
chaque membre, une cl6 publique de propri6t6 pour pamettre k chaque membre de 
verifier la validity de sa cl6 et une cl6 publique de rmouvellement permettant k chaque 
membre de modifier sa cl6 privee de propri6t6 k chaque fois qu'un membre rejoint ou 
quitte le groupe. Pour chaque nouveau membre et pour chaque revocation d'un 
membre, Tautorite de confiance modifie la cl6 publique de propri6t6 et la cI6 de 
renouvellement. Chaque membre restant du groupe modifie sa propre cle privee de 
propriete k Taide de la cle de renouvellement et verifie sa validity grace k la cle 
publique de propriety. Lors de la signature electronique d'lm message, le membre 
signataire utilise sa cle priv6e de propri6t6. Ainsi, le destinataire peut verifier la 
signature Electronique k Taide de la cle publique de propriete. Ce proc6d6 a pour 
inconvenient d'etre d'application particuli^re car il est prouve sure \miquement dans un 
schema de signature de groupe particulier qui correspond celui pr6sent6 dans T article 
de J. Camenisch, M. Michels, ayant pour r6f6rence « A group Signature Scheme with 
Improved Efficiency », In K, Ohta et D. Pei, editors, Advances in Cryptology - 
ASIACRYPT'98, volume 1514 of LNCS, pages 160-174. Springler-Verlag, 1998. En 
outre, ce procede est d^savantageux en ce qu'il impose des calculs k chaque membre k 
chaque fois qu'un membre rejoint ou quitte le groupe ; or, ces calculs peuvent devenir 
fr^uents si la dynamique du groupe est importante. 

Un des objectifs de Tinvention est de rem6dier aux inconv6nients des methodes 
connues et pr6c6denunent decrites. 

Expos6 de Tinvention 

A cet effet, Tinvention a pour objet un proced6 cryptographique de signature 
anonyme d'un message destine k 6tre mis en oeuvre par un membre d'un groupe, ce 
groupe etant compose de n membres 6quipes chacun d*un moyen de calcul et d'un 
moyen de m6morisation associ6. Ce proc6d6 comprend des 6tapes initiales qui 
consistOTt lors de la constitution du groupe : 

Hang line premiere etape, k calculer par un premier moyen de calcul d'une 
autorit6 de confiance, ime paire de cl6s asymetriques commxmes aux membres 
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du groupe, cette paire de cl6s se composant d'une cl6 publique et dune cl6 
priv6e communes, 

- dans une deuxieme ^tape, k calculer par le premier moyen de calcul une cl6 
publique de groupe associ^e au groupe, 

- dans une troisi^e 6tape, pour chaque membre, lors d*une interaction entre le 
moyen de csdcul de Tautorite de confiance et le moyen de calcul du membre, k 
calculer une cl6 privee de groupe et k memoriser cette cl6 priv6e de groupe 
dans le moyen de memorisation du membre, chaque cle privee de groupe 6tant 
associ^e k la cl6 publique de groupe et 6tant difF(6rente pour chaque membre 
du groupe, 

dans une quatri^me etape, k determirier par le premier moyen de calcul autant 
de cl6s secretes symetriques que de membres du groupe, 
dans une cinquieme etape, a chiffrer par le premier moyen de calcul la cl6 
privee commime avec chacime des cl6s secretes pour obtenir autant de formes 
chiffrees de la cl6 priv6e commune que de membres non revoques. 

Et a chaque revocation au sein du groupe, le proc6de comprend des Stapes qui 

consistent : 

dans une sixieme 6tape, k modifier par le premier moyen de calcul la paire de 
cl6s asymetriques communes poiu* d6terminer une cl6 publique et une cl6 
priv6e communes i jour, 

- dans une septi^me etape, k chiffrer par le premier moyen de calcul la cl6 
privee commune avec chacune des cl6s secretes pour obtenir autant de formes 
chififr6es de la cl6 priv6e commime que de membres non r^voqu^s. 

Et a chaque signature anonyme d'lm message par le membre du groupe, ce 
message devant etre transmis k im destinataire, le proc^de comprend des Stapes 
qui consistmt : 

- dans une huitieme etape, k mettre a jour la cl6 priv6e commune memoris6e par 
le moyen de memorisation du membre uniquement si une des valexws chiffrees 
de la cI6 priv6e commune est dechiffrable k Taide de la cl6 secrete sym6trique 
memoris6e par le moyen de memorisation du membre, 

- dans une neuvidme etape, a calculer par le moyen de calcul du membre, ime 
signature dite anonyme du message a Taide de sa cie privee de groupe, 

dans ime dixieme etape, a calculer par le moyen de calcul du membre une 
signature dite additionnelle de I'ensemble compose du message et de la 
signature anonyme, a Taide de la cie privee commune du membre. 
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Le proc6d6 selon Tinvention consiste completer la signature anonyme d'un 
message effectu6e par un membre avec une signatm-e additiomielle. Cette signature 
additiomielle est calcul6e k Taide d'\me copie, d6temie par le membre, d*une cl6 priv6e 
de signature identique pour Tensemble des membres autoris^ h signer et inconnue de 
tous les membres r6voqu6s. Cette cl^ priv6e dite commune est mise ^ jour par Tautorit^ 
de confiance k chaque revocation d'un membre du groupe. La mise k jour de la copie 
detenue par le membre est declenchee uniquement lors dhme phase de signature 
anonyme d*un message par ce membre et la mise k jour n'est possible que pour un 
membre non r6voqu6. 

Ainsi, un membre r6voqu6 est toujours detect^ car la signature additionnelle 
qu'il foumit est necessairement feusse 6tant donn^ qu'il ne possede pas la cl6 priv6e 
commime mise a jour. 

Selon un autre objet, un proc6d6 selon Tinvention est tel que la constitution du 
groupe a lieu a une date t let est tel que les etapes consistent en outre : 

lors de la premiere etape, a associer par le premier moyen de calcul la cle 
privee commune a xme date de mise a joiu* 6gale ^ tl, 

- lors de la troisieme etape, a memoriser par le moyen de memorisation de 
chaque membre la date de mise a jour de la cle privee commune, 

et est tel qu'i chaque revocation au sein du groupe a une date t2, les Stapes 
consistent en outre : 

- lors de la sixieme etape, k modifier par le premier moyen de calcul la date de 
mise i jour pour determiner une date de mise k jour ^gale k la date t2, 

et est tel qu'^ chaque signature anonyme d'lm message par le membre du groupe, 
ce message devant Stre transmis k un destinataire, les Stapes consistent en outre : 

- lors de la huitieme etape, k mettre a jour la cl6 privee commune m^morisee par 
le moyen de memorisation du membre xiniquement si en outre la date de mise 
k jour memorisee par le moyen de memorisation du membre est diff^rente de 
la date de mise k jour de la cie privee commune mise k jour par le premier 
moyen de calcul. 

Selon un autre objet, un procede selon Tinvention est tel que les etapes consistent 
en outre : 

- lors de la troisidme etape, k calculer en outre par le premier moyen de calcul, 
pour chaque membre du groupe, xm identifiant du membre et a memoriser en 
outre par le moyen de memorisation de chaque membre Tidentifiant du 
membre. 
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et est tel qu'k chaque revocation au sein du groupe les 6tapes consistent en outre : 

- k calculer par le premier moyen de calcul pour chaque nouveau membre du 
groupe un identifiant. 

Selon un autre objet, un proc^6 selon Tinvention est tel que les 6tapes consistent 
en outre : 

- lors de la troisieme &tape^ k m6moriser par un moyen de memorisation reli6 au 
premier moyen de calcul la cl6 secrdte sym^trique de chaque membre, la paire 
de cl^s asymStriques communes aux membres du groupe et la cle publique de 
groupe, 

et est tel que pour chaque modification de la composition du groupe qui 
correspond a une revocation au sein du groupe, le proc6d6 comprend en outre 
Tetape qui consiste : 

- a supprimer la cl6 secrete du membre revoque, du moyen de memorisation 
relie au premier moyen de calcul, 

et est tel que pour mettre a jour la cle priv^e commune m6morisee par le moyen 
de memorisation d*un membre, le procede comprend en outre les etapes qui 
consistent : 

a lire par le moyen de calcul du membre, les diffierentes formes chiffrees de la 
cie privee commune qui sont memorisees dans le moyen de memorisation relie 
au premier moyen de calcul, 

- k dechiffra: par le moyen de calcul du m^bre et k I'aide de la cie secrete 
memorisee par le moyen de memorisation du membre, les differentes formes 
chiffrees de la cie privee commune. 

L'invention a en outre pour objet un dispositif cryptographique de signature 
anonyme d*un message numerique qui comprend : 

- un premier moyen de calcul pour calculer d*vme part au moins une paire de 
cies asymetriques communes aux membres du groupe compose de n membres 
et d*autre part une cie publique de groupe associee au groupe, pour calculer 
pour chaque membre, lors d'une interaction avec le moyen de calcul du 
membre, une cie privee de groupe, chaque cie privee de groupe etant associee 
a la cie publique de groupe et etant difPerente pour chaque membre du groupe, 
pour determiner autant de cies secretes symetriques que de membres du 
groupe et pour chiffrer la cie privee commune avec chacune des cies secretes 
symetriques pour obtenir autant de formes chiffrees de la cie privee commune 
que de membres non revoques. 
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Selon un autre objet, un dispositif selon rinvention comprend en outre : 
- un moyen de memorisation reli6 au premier moyen de calcul via im r6seau de 
communication pour m6moriser au moins la cl6 secrete sym6trique de chaque 
membra du groupe, la cl6 publique de groupe, la cle publique commune aux 
membres du groupe et chacune des diff^rentes formes chiffr^es de la cl6 
priv6e commune. 

L'invention a en outre pour objet une carte h puce destin^e a un membre d'un 
groupe constitu^ de n membres et destinee a interagir avec un dispositif precedent. 
Cette carte comprend : 

- un moyen de memorisation d'lme cl6 priv6e commune aux membres du groupe, 
d'lme cie priv6e de groupe du membre et d*une cl€ secrete sym6trique attribute 
au membre, 

- un moyen de mise k jour de la cl6 privee commune memorisee par le moyen de 
memorisation du membre pour mettre k jour la cle privee commune 
uniquement si une des valeurs chiffrees de la cl6 privte commime, calcul6es 
par le premier moyen de calcul du dispositif, est dechiffrable k Taide de la cl6 
secrete symetrique memorisee par le moyen de memorisation du membre, 

- un moyen de calcul pour calculer ime signature anonyme d*un message a Taide 
de sa cl6 privee de groupe et pour calculer une signature additionnelle de 
Tensemble compost du message et de la signature anonyme k I'aide de la cle 
priv6e commune du membre. 

Selon un autre objet, une carte selon Tinvention est telle que le moyen de mise a 
jour comprend un moyen de dechiffrement pour dechiffirer une des valeurs chiffr6es de 
la cl6 priv6e conunune, calculees par le premier moyen de calcul du dispositif, k Faide 
de la cl6 privee commune memorisee par le moyen de memorisation du membre. 
Breve description des figures 

D'autres caract^ristiques et avantages de T invention apparaitront lors de la 
description qui suit et qui est faite en regard de figures annex6es de modes particuliers 
de realisation donnes a titre d'exemples non limitatifs. Ces figures representent : 

La figure 1 est un organigramme d'un procede selon Tinvention. 

La figure 2 est un organigramme d*une realisation particuliere d'un procede 
selon rinvention. 

La figure 3 est un schema d*un mode particulier de mise en oeuvre d'un procede 
selon rinvention. 

Description detailiee de modes de realisation de rinvention 
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La figure 1 represente un organigramme d*un proced6 cryptographique de 
signature anonyme d'un message selon rinventioiL Le precede est destin6 a etre mis en 
oeuvre par un membre d'un groupe compos6 de n membres. Chaque membre possMe 
un moyen de calcul associ6 k un moyen de memorisation. Le proc^^ se d6roule en 
dif£6rentes ^apes qui compremient des Stapes initiales et des ^apes non-initiales. Les 
etapes initiales interviennent lors de la cr^tion du groupe et sont list^es ci-apr^. 

Une premiere ^tape consiste k calculer 1 par un premier moyen de calcul d'une 
autorit6 de confiance, une paire de cl^s asym6triques communes aux membres du 
groupe ; cette paire de cl^s se compose dHine cl€ publique et d\ine cl6 priv6e 
commimes. L'algorithme utilise pour la premiere ^tape est un algorithme de signature k 
cl6 publique qui peut-§tre Talgoritbrne RSA, pour R.L. Rivest, A>Sliamir et L. 
Adleman qui en sont les auteurs. 

Une deuxifeme 6tape consiste a calculer 2 par le premier moyen de calcul une 
cl6 publique de groupe associee au groupe. Le calcul est effectue en faisant appel k un 
algorithme particulier. Cet algorithme peut etre celui decrit dans Tarticle de 
J.Camenisch et M.Michels qui a pour reference "Efficient group signature signature 
schemes for large groups", In B.Kaliski, editor. Advances in Cryptology - 
CRYPT097, volume 1296 of LNCS, pages 410 4424, Springer- Verlag, 1997. 

Une troisidme 6tape consiste k calculer 3 lors d'une interaction entre I'autorite 
de confiance et chaque membre du groupe pris successivement, une cl€ priv6e de 
groupe associ^ k la cl€ publique de groupe, chaque c\6 privee de groupe ^ant 
diffSrente pour chaque membre du groupe. Lors de Tinteraction, la cl6 priv6e de 
groupe du membre est m6moris6e 4 par le moyen de memorisation du membre, 
I'autorite de confiance n'a pas connaissance de cette cl&. Le calcul est effectue en 
faisant appel a un algorithme particulier. Cet algorithme peut €tre celui decrit dans 
Tarticle de J.Camenisch et M.Michels qui a pour r6f6rence "Efficient group signature 
signature schemes for large groups", In B.Kaliski, editor, Advances in Cryptology - 
CRYPT097, volume 1296 of LNCS, pages 410 a 424, Springer- Verlag, 1997. 

Une quatrifeme etape consiste k determiner 5 par le premier moyen de calcul 
autant de cies secretes symetriques que de membres du groupe. Cette determination 
peut consister k tirer au hasard des chiffres et des lettres pour former une cie. Selon une 
variante, les cies secretes symetriques peuvent verifier ime certaine distribution. Une 
telle distribution est decrite dans Tarticle de C.K.Wong, M.G.Gouda et S.S.Lam 
intitule "Secure Group Communications Using Key Graph" - Technical Report TR-97- 
23, 28juillet 1997. 
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Une cinquidme 6tape consiste a chiffrer 6 par le premier moyen de calcul la cl6 
priv6e commune avec chacune des cles secretes pour obtenir autant de formes chiffr6es 
de la cl6 priv6e commune que de membres non r6voqu6s. Le chiffrement est effectu6 
en faisant appel a vm algorithme de chiffrement tel que ralgorithme AES. 

Selon la variante pr^6dente, les cl6s secretes sym6triques v6rifient une certaine 
distribution qui permet de ne pas chiffrer la cle priv^ commune avec chacune des cl^ 
secretes mais avec seulement certaines d'entre elles. 

Aprds constitution, la composition du groupe peut se modifier 7. Une 
modification consiste soit en une revocation au sein du groupe, soit m I'entrde d'un 
nouveau membre dans le groupe. A chaque revocation au sein du groupe et 
optionnellement lors de Tarrivee d'un nouveau membre, le proc6de comprend les 
Stapes suivantes. 

Une sixidme 6tape consiste k modifier 8 par le premier moyen de calcul la paire 
de cles asym6triques communes pour determiner xme cl6 publique et une cl6 priv6e 
communes a jour de la composition du groupe. Cette modification est effectu6e en 
utilisant typiquement le meme algorithme que celui utilise lors de la premiere etape. 

Une septidme etape consiste k chiffrer 9 par le premier moyen de calcul la cl6 
privee commune avec chacune des cl6s secretes pour obtenir autant de formes chiffr6es 
de la cl6 priv6e commune que de membres non revoqu6s. Ce chiffrement est effectu6 
en utilisant typiquement le m8me algorithme que celui utilise lors de la cinqui^me 

A un moment donn6 quelconque, im membre du groupe peut entreprendre de 
signer 10 un message avant de le transmettre k im destinataire. A chaque signature 
anonyme d*un message par le membre, le proc6de conq>rend les 6tapes suivantes. 

Une huiti^me etape consiste k mettre 11 ^ jour la cl6 priv^ commune 
m6moris6e par le moyen de memorisation du membre uniquement si une des valeurs 
chiffrees de la cl6 priv6e conmiune est d6chiffrable a I'aide de la cle secrete sym^trique 
m6morisee par le moyen de memorisation du membre. Le dechiffrement est effectue 
en utilisant le meme algorithme que celui utiUse lors de la septidme etape, c'est-^-dire 
lors du chiffrement. La mise a jour est effectuee si Talgorithme de dechiffrement 
permet de dechiffrer une des valeurs chiffrees de la cie privee commime. 

Une neuvieme etape consiste k calculer 12 par le moyen de calcul associe au 
moyen de memorisation du membre, une signature dite anonyme du message k Taide 
de sa cie privee de groupe. Le calcul est effectue en faisant appel a \m algorithme de 
signature anonyme. Un tel algorithme est decrit dans Tarticle de J.Camenisch et 
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M.Stadler qui a pour r6f6reiice "Efficient group signature signature schemes for large 
groups", In B.Kaliski, editor, Advances in Cryptology - CRYPT097, volume 1296 of 
LNCS, pages 410 ^ 424, Springer- Verlag, 1997. Une autre description est donnte dans 
Tarticle de J.Camenisch et M.Michels qui a pour r^fi§rence "A group signature scheme 
with improved efficiency. In K.Ohta et D.Pei, editors, Advances in cryptology- 
ASIACRYPT'98, volume 1514 of LNCS, pages 160-174. Springer-Verlag, 1998. 

Une dixieme etape consiste a calculer 13 par le moyen de calcul du membre 
une signature dite additionnelle de Tensemble compos6 du message et de la signature 
anonyme, k I'aide de la cl6 privee conmume du membre. L'algorithme utilise pour la 
dixidme 6tape est im algorithme de signature h cl€ pubUque qui peut-etre Falgorithme 
RSA. 

La figure 2 est un organigramme d'une realisation particuliere du proced6 selon 
rinvention. Les 616ments deja decrits en regard de la figure 1 ne sont pas re-d6crits. 
Les elements particuUers sont decrits ci-apr^. 

La premiere etape consiste en outre k associer 14 une date de mise ^ jour 6gale 
tl a la cl6 priv6e commune, en considdrant que tl est la date de constitution du 
groupe. 

La troisieme 6tape consiste en outre k m^moriser 15 par le moyen de 
memorisation de chaque membre la date de mise i jour de la cle privee commime. 

A chaque modification de la cle privee conmiune k une date t2 lors de la 
sixi^me etape, le procede consiste en outre k modifier 16 par le premier moyen de 
calcul la date de mise a jour pour determiner une date de mise ^ jour egale k la date t2. 

A chaque signature anonyme d'un message par un membre du groupe, ce 
message devant Stre transnois k un destinataire, la huitieme et^e consiste k mettre k 
jour la cie privee commune memorisee par le moyen de memorisation du membre si, 
en outre, la date de mise ^ jour memorisee par le moyen de memorisation du membre 
est differente 17 de la date de mise ^ jour de la cie privee commune mise k jour par le 
premier moyen de calcul. Par contre, si la date memorisee par le moyen de 
memorisation du membre est egale k la date de mise a jour de la cie privee de groupe 
mise ^ jour, il n'y a pas de mise a jour par le moyen de memorisation du membre. 

Tant qu'il n'y a ni revocation, ni entree d'un nouveau membre, il n'y a pas de 
mise a jour de la paire de cies asymetriques communes et de la date de mise i jour par 
le premier moyen de calcul. Par consequent et de maniere avantageuse, le moyen de 
calcul du membre ne met pas k jour sa cie privee commune, il utilise la cie privee 
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commune qui est m6moris6e dans le moyen de memorisation du membre pour calculer 
la signature additionnelle. 

La figure 3 est im schema d*un mode de mise en oeuvre d'un proc6de selon 
rinvention au moyen d'un systeme. 

Le systeme comprend au moins un moyen 20 de calcul et autant de cartes 21 1 ^ 
puce que de membres dans le groupe. 

Une autorite de confiance, telle ime personne physique, une personne morale, 
une administration nationale ou Internationale, d^tient un moyen 20 de calcul 
represents par un serveur sur la figure 3. Ce moyen de calcul 20 est reli6 par une 
premiere liaison 22 de communication k un r6seau 23 de commimication qui peut aussi 
bien etre un reseau public comme internet, qu'un reseau priv6 comme xm reseau LAN, 
abr6viation des termes anglo-saxons Local Area Network. 

Chaque membre d'un groupe d6tient une carte 21 1 ^ puce qui comprend dans la 
puce un moyen 24 de memorisation et un moyen 25 de calcul. Chaque membre dStient 
en outre, ou a accds un lecteur 26 de cette carte reUe par une deuxieme liaison 27 de 
communication k un ordinateur 28 personnel, ou tout ordinateur Equivalent. 
L'ordinateur 28 personnel est reli6 par une troisieme liaison 29 de communication au 
reseau 23 de communication. 

La constitution du groupe auprSs de Tautorite de confiance se traduit par une 
interaction entre I'autorite de confiance et chaque membre du groupe. Avant cette 
interaction, le serveur 20 de I'autorite de confiance calcule une paire de cies 30, 31 
asymetriques communes aux membres du groupe et une cie 32 publique de groupe 
associee au groupe. Lors de chaque interaction, le serveur 20 de I'autorite de confiance 
et le moyen 25 de calcul du membre calculent une cie 33 1 privSe de groupe. La cie 33 1 
privee de groupe est memorisee dans le moyen 24 de memorisation de la carte h puce 
du membre. Aprfes interaction avec Tautorite de confiance, le membre possede une cie 
privee de groupe qui lui est propre et qui est differente de la cie privee de groupe de 
tons les autres membres. La paire 30, 31 de cies asymetriques communes se compose 
d*une cie 30 publique commime et d'lme cl6 privee 31 commune. A cette paire 30, 31 
peut etre associ6e xme date D de mise k jour qui est initialisee k la date tl de calcul de 
cette paire. Les cl6s privees de groupe sont differentes pour chaque membre du groupe 
et sont associees k la cie 32 publique du groupe. 

Lors de chaque interaction, le serveur 20 de I'autorite de confiance determine 
xme cie 34 1 secrete symetrique. Le serveur 20 chiffre ensuite la cie 3 1 privee commune 
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avec chacune des cles 34i secretes pour obtenir autant de formes chiffr6es de la cl6 3 1 
priv6e commune que de membres non r6voques. 

G^^alement lors de chaque interaction, le serveur 20 de l*autorit6 de 
confiance et le moyen 25 de calcul du membre calculent en outre un identifiant 3Si du 
membre. 

Pendant Tinteraction entre Tautorit^ de confiance et un membre, la carte 21 1 a 
puce memorise dans son moyen 24 de memorisation la cl6 31 privee commime, la cl6 
33 1 privee de groupe du membre et la cle 34 1 secrete attribute au membre. Le transfert 
des cl6s dans une carte k puce est effectu6 lors de Tinteraction par des proc6d6s 
classiques. 

L'autorit6 de confiance conserve une copie de chacune des cles 34i secretes 
sym^triques et identifiants 3Si de chaque membre dans un espace memoire qui peut 
etre ime zone memoire du serveiu* 20 ou un moyen 36 de memorisation associe. Les 
diff6rentes cl6s publiques et les valeurs chiffrees de la cl6 31 priv6e commime sont 
rangees dans un annuaire qui est stock6 dans une partie publique de Tespace memoire 
20, 36 ; c'est-a-dire directement accessible, en particulier, par chaque membre du 
groupe ou, en particulier, par chaque destinataire d*im message et ce par Tintermediaire 
dureseau23. 

Aprds constitution auprds de Tautorite de confiance, le groupe peut 6voluer, soit 
par Tentrte d'un nouveau membre dans le groupe, soit par la revocation d'un membre 
du groupe. 

A chaque revocation au sein du groupe, le serveur 20 modifie la paire de cies 
30, 31 asymetriques communes pour determiner une paire de cles asymetriques jour 
de la composition du groupe. Cette mise i jour est efifectuee k une date donnee dite de 
mise k jour. EUe peut aussi etre eventuellement effectuee lors de I'entree d'un nouveau 
membre dans le groupe. 

Aprds determination de cette paire de cies asymetriques communes k jour, le 
serveur 20 met k disposition sous formes chiffrees la cie 31 privee de cette paire de 
cl6s asymetriques pour chacune des cartes 2 1 1 ^ puce des membres non revoques du 
groupe. Le serveur 20 calcule autant de formes chiffrees que de membres non revoques 
en utilisant la cie 34i secrete personnelle a chacim de ces membres. A chaque evolution 
du groupe, le serveur 20 chiffre la cie 31 privee de la paire de cies 30, 31 asymetriques 
communes i jour. 

A chacune des cies 34i secretes personnelles introduite comme argument 
d'entree de Talgorithme de chiffirement utilise correspond im resultat qui est la valeur 
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chif&6e de la cle 31 priv6e commune de la paire de cl6s asym6triques k jour. Les 
diff6rents r6sultats et, g6n6ralement, la date de mise i jour sont raiig6s dans Tannuaire. 

Lorsqu*un membre du groupe veut signer un message m6moris6 dans un 
ordinateur 28 personnel, il introduit sa carte 21 1 a puce dans le lecteur 26 de carte reli6 
k cet ordinateur 28. Le moyen 25 de calcul de la carte 21 1 i puce se connecte k I'espace 
20, 36 memoire dans lequel est stocks Tannuaire, via I'ordinateur 28 personnel et le 
r^eau 23. 

La carte 21 1 ^ puce lit dans Tannuaire la date D de mise k jour de la cli priv6e 
commune. Le moyen 25 de calcul de la carte 21 1 ^ puce compare cette date D de mise 
a jour avec celle Di qu'elle d6tient dans son moyen 24 de memorisation. Soit ces dates 
sont differentes, soit ces dates sont identiques. 

Si les dates sont diffdrentes, la carte 21 1 a puce pent, par exemple, copier dans 
son moyen 24 de memorisation les differentes formes chiffrees de la cle 31 privee 
commune. Le moyen 25 de calcul de la carte 21 1 i puce peut alors entreprendre de 
dechiffrer chacune des formes chiffrees de la cl6 31 privee commime k Taide de 
Talgorithme de dechiffrement qui est associ6 k ralgorithme de chiffrement 
prealablement utilise. Les arguments d'entr6e comprennent d'une part, la cle 34 1 
secrete personnelle m6moris6e dans la carte 21 1 k puce et d'autre part, prises 
successivement, les formes chiffrees de la cl6 31 priv6e commune. Au premier r^sultat 
correct de d6chiffrement, la carte 21 1 a puce met k jour d'une part la cl6 31 priv6e 
commune qu'elle dStient dans son moyen 24 de memorisation avec la valeur d^chiffree 
de la cle 31 priv6e chiffr6e conmiune et d'autre part la date Di de mise k jour qu'elle 
d6tient dans son moyen 24 de memorisation avec la date D de mise ^ jour associee k la 
valeur d6chiffree de la cl6 31 privee chiffrde commune. 

Une autre m^thode consiste a placer devant chaque forme chiffrSe de la cl6 3 1 
priv6e commune un identifiant du membre concern^. Le moyen 25 de calcul de la carte 
21 1 ^ puce peut alors entreprendre de tester chacune des formes chiffrees de la cle 31 
priv6e commune a Faide de Tidentifiant. Lorsqu'elle arrive a im test valide, elle 
entreprend alors de dechiffrer la forme chiffree de la cl6 3 1 privee commune qui lui 
correspond k Faide de Falgorithme de dechiffrement qui est associe a Talgorithme de 
chiffrement prealablement utilise. Les argmnents d'entr^e comprennent d'une part, la 
cle 34] secrete personnelle memorisee dans la carte 21 1 ^ puce et d'autre part la forme 
chiffree de la cie 31 privee commune. La carte 21 1 ^ puce met a jour d'une part la cie 
31 privee commune qu'elle detient dans son moyen 24 de memorisation avec la valeur 
dechiffree de la cle 31 privee chiffree commune et d'autre part la date Di de mise k 
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jour qu'elle d^tient dans son moyen 24 de memorisation avec la date D de mise a jour 
associee k la valeur dechiffree de la cle 31 privee chiffr6e commune. 

Si les dates sont identiques la carte k puce n'effectue pas de copie dans son 
moyen 24 de memorisation des diff6rentes formes chiffr6es de la cl6 31 priv6e 
commune. Cette situation se pr^sente lorsque aucime Evolution du groupe n'a eu lieu 
depuis TentrSe du membre dans le groupe ; la carte 21 1 a puce detient la demi^re mise 
i jour de la cl6 3 1 privee commune. 

Apr^ cette phase de mise k jour, le moyen 25 de calcul de la carte 21 1 a puce 
r6cupdre le message memorise dans I'ordinateur 28. Le moyen 25 de calcul de la carte 
21 1 ^ puce calcule une signature anonyme de ce message a Taide de Talgorithme de 
signature. Les arguments d'entr6e comprennent tfune part le message et d'autre part la 
cl6 33 1 privee de groupe m6moris6e dans le moyen 24 de memorisation de la puce. 

A Tissue de ce calcul, le moyen 25 de calcul de la carte 21 1 i puce calcule une 
seconde signature dite additionnelle de Fensemble forme du message et de la signature 
anonyme k Taide de Talgorithme de signature precedent. Les arguments d'entr^e 
comprennent d'une part Tensemble forme du message et de la signature anonyme et 
d'autre part la cle 3 1 priv6e commune memoris^e dans le moyen de memorisation du 
membre. 

En final, la carte 21 1 a puce transmet au destinataire choisi par le membre, la 
signature additionnelle, la signature anonyme et le message. 

Le destinataire pent dans ces conditions verifier que le membre qui a sign^ le 
message est un membre non r6voque. A cette fin, le destinataire v^rifie chacime des 
deux signatures, la signature additionnelle et la signature anonyme, k Uaide de la cl6 
publique commune, respectivement de la cl6 publique de groupe. Pour verifier, le 
destinataire utilise un algorithme de verification disponible par exemple sur un 
ordinateur 37 personnel. Les arguments d*entr6e comprennent d'une part le message et 
d'autre part la cl6 publique commune, respectivement la cle publique de groupe. 

Une premiere application d*un proced6 selon Tinvention est le vote 
61ectronique. Le vote 61ectronique se deroule en deux phases : 

- une inscription sur une liste 61ectorale auprfes d'une autorit6 administrative, 
une operation de vote aupr^s d'une lune connectee via un r^seau de 
communication a un serveur d*une administration des votes. 

Lors de Tinscription, reiecteur obtient une cle privee de groupe selon un 
procede selon I'invention. Dans cette mise en oeuvre du proc^de, la signature anonyme 
que pourra produire I'electeur a partir de sa cl6 priv6e de groupe est dite "corr61able". 
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Ceci signifie que, dans le cas ou Telecteur tenterait de signer de maniere anonyme un 
second bulletin de vote en produisant une signature anonyme, ce bulletin serait rejet6 
par Tume. En effet, la signature anonyme €taxA corr^lable, l*ume est en mesure de 
verifier qu'il s'agit d*une seconde signature anonyme. 

Un 61ecteur malveillant ne peut pas pr6tendre avoir perdu sa cl^ priv^ de 
groupe, en recevoir une autre et etre en mesure de voter deux fois. En effet, la mise en 
oeuvre d*un proc6d^ selon Finvention permet de lui interdire Futilisation de la premiere 
cl6 priv6e de groupe ; cette cle priv6e de groupe est mise k jour au moment ou il 
declare avoir perdu la premiere cl6 priv6e de groupe. Cette parte est g6r£e par la mise 
en oeuvre d'un proc6d6 selon Finvention comme une revocation du membre. 

Une seconde application d'un proc^6 selon Finvention est un service 
d'enchdres 61ectroniques. Les encheres font appel k trois protagonistes : un serveur 
d'ench^res, une autorite de confiance et un client. L'ensemble des clients forme un 
groupe dit groupe des clients. Un utilisateur d^sirant s'inscrire au groupe des clients 
doit s'adresser k Fautorit6 de confiance qui lui foumit sa cl6 priv6e de groupe. II obtient 
ainsi le droit de produire xme signature anonyme de groupe. Muni de ce droit, il peut 
signer chacxme de ses encheres de manidre anonyme. Lors d'lme ench^re pour \m 
certain produit, chaque membre du groupe des clients peut encherir en signant un 
message contenant notanoment le produit mis en vente et le montant de son enchere. Le 
s^eur d*enchdres peut verifier Fappartenance au groupe et done la validite de 
Fench^e en v^fiant la signature anonyme de groupe. Le vainqueur est celui qui 
donne la demidre enchere avant Fadjudication. Le dernier message reQu par le serveur 
d'ench^es est done celui du vainqueur. Le serveur adresse alors ce message et la 
signature anonyme de groupe correspondante k Fautorit6 de confiance qui est la seule 
capable d'en lever Fanonymat et done de d6terminer Fidentit^ physique de Facheteur du 
produit mis aux encheres. 

Les encheres mettent en jeu des groupes dynamiques : de nouvelles personnes 
peuvent chaque jour s'inscrire au groupe, im membre peut quitter le groupe ou etre 
exclu pour fraude k tout moment. II est done indispensable de mettre en place un 
systfeme de revocation pour empecher qu'un membre r6voque ne puisse se servir de sa 
signature de manidre frauduleuse. En effet, le membre r6voque pourrait continue k 
utiliser sa cle priv6e de groupe pour participer aux encheres et fausser le bon 
ddroulement de ces demidres par exemple en faisant monter le montant. Et, s*il prend 
soin de se retirer suffisamment t6t du processus de fafon k ne pas remporter les 
encheres en question, alors cette fraude n'est pas d^ectee puisque seule Fidentit6 du 
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gagnant est finalement r6velee. La mise en oeuvre d'un precede salon Tinvention 
permet de r6soudre le probldme de revocation d'un ou de memhre(s) du groupe. 

Une troisieme application d*un proc6de selon I'invention est le paiement 
eiectronique. EUe met en jeu quatre protagonistes : un client, un commer^ant, une 
banque et une autorit6 de confiance. Chaque client doit se faire identifier par le 
syst^me et obtenir une cl6 priv6e de groupe avant de pouvoir effectuer sa prexnidre 
transaction. Pour effectuer un paiement, le client doit retirer des pi^es 61ectroniques 
aupr^ de sa banque. Les pi^es qu'il retire sont anonymes grace a Tutilisation d*un 
mecanisme dit de signature aveugle. La d6pense d'une pi^ce C chez un conmiergant se 
fait de la manidre suivante : le client genere ime signature de groupe portant sur les 
pieces C et transmet Tensemble signature et pieces C au commerfant. Le commCTfant 
verifie la signature de la banque attachee a chaque piece C et verifie la signature de 
groupe. Si chacune des deux signatures est valide, le commergant accepte la 
transaction. A xm moment domi6 du jour, le conmier^ant transmet a sa banque les 
signatures et les pieces re?ues en paiement pour virement a son compte. En cas de 
fraude, par exemple par la r6utilisation d'lme mgme pi^ce dans plusieurs transactions, 
la banque envoie la signature de groupe portant sur la piece litigieuse a Tautorit^ de 
confiance afin qu'elle identifie le client ind61icat et sanctionne le contrevenant. 

Un mecanisme fiable de revocation des cl^s priv6es de groupe compromises est 
n^cessaire afin d'Sviter une fi-aude du type suivant : un client malhonnSte signale k 
I'autorite de confiance la perte de sa cie priv^e de groupe s et decline alors toute 
responsabilite pour les fraudes qui pourraient §tre conmiises avec s. Le client remet sa 
cl6 k son complice, lequel pent alors utiliser s pour signer les pieces c qu'il a 
legitimement retirees k la banque, puis les d^penser autant de fois qu*il le souhaite. Un 
proc^de selon I'invention permet de resoudre le probl^me de la revocation des cl6s 
priv6es de groupe. 
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REVENDICATIONS 

1. Precede cryptographique de signature anonyme dW message destine k etre mis en 
oeuvre par un membre d'un groupe, ce groupe 6tant compost de n membres 
6quipes chacun d*un moyen (25) de calcul et tfun moyen (24) de m6morisation 
associ^ caracterise en ce qu'il comprend des 6tapes initiales qui consist^t lors de 
la constitution du groupe : 

- dans une premiere ^tape, k calculer (1) par un premier moyen de calcul d*une 
autoritS de confiance, une paire de cl6s (30,31) asym6triques communes aux 
membres du groupe, cette paire de cl6s se composant d'une cl& (30) publique 
et d*une cl6 (31) privee communes, 

- dans ime deuxi^me etape, k calculer (2) par le premier moyen de calcul ime cl6 
(32) publique de groupe associee au groupe, 

- dans ime troisieme 6tape, pour chaque membre, lors d'une interaction entre le 
moyen de calcul de Tautorite de confiance et le moyen de calcul du membre, a 
calculer (3) une cl6 (33 1) privee de groupe et k m6moriser (4) cette cle (33 1) 
privee de groupe dans le moyen (24) de memorisation du membre, chaque cl6 
(33 1) privee de groupe 6tant associee a la cle (32) publique de groupe et 6tant 
difF6rente pour chaque membre du groupe, 

dans une quatrieme 6tape, k determiner (5) par le premier moyen de calcul 
autant de cl6s (34i) secretes symetriques que de membres du groupe, 

- dans ime cinqui&me etape, a chiffrer (6) par le premier moyen (20) de calcul la 
cl6 (31) priv6e commime avec chacime des cl6s (34i) secretes pour obtenir 
autant de formes chiffr6es de la cl^ (31) privee conunune que de membres non 
r6voqu6s, 

et en ce qu'i chaque revocation au sein du groupe, le proc6d6 comprend des 
Stapes qui consistent : 

- dans une sixifeme etape, k modifier (8) par le premier moyen (20) de calcul la 
paire de cl& (30, 31) asym^triques communes pour determiner une cl6 (30) 
publique et une cie (31) privee communes i jour, 

- dans une septi^me etape, k chiffrer (9) par le premier moyen (20) de calcul la 
cie (31) privee commune avec chacune des cies (340 secretes pour obtenir 
autant de formes chiffrees de la cie (31) privee commime que de membres non 
revoques, 
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et en ce qu'k chaque signature (10) anonyme d'lin message par le membre du 
groupe, ce message devant etre transmis k un destinataire, le proc6d6 comprend 
des 6tapes qui consistait : 

- dans una huiti^me 6tape, i mettre (11) a jour la cl& (31) priv6e commune 
m6moris6e par le moyen (24) de memorisation du membre uniquement si une 
des valeurs chiffr^s de la cl6 (31) privee commune est dechiffrable k Taide de 
la cl6 (340 secrete sym6trique m6moris6e par le moyen (24) de memorisation 
du membre, 

- dans une neuvi^me dtape, a calculer (12) par le moyen (25) de calcul du 
membre, une signature dite anonyme du message k I'aide de sa cl6 (33 1) privde 
de groupe, 

- dans une dixieme etape, a calculer (13) par le moyen (24) de calcul du 
membre une signature dite additionnelle de Tensemble compos6 du message et 
de la signature anonyme, k Taide de la cl6 (31) privee commune du membre. 

2. Proc6de cryptographique de signature anon5ane selon la revendication 1, dans 
lequel la constitution du groupe a lieu k une date tl et dans lequel les Stapes 
consistent en outre : 

- lors de la premiere etape, k associer (14) par le premier moyen de calcul la cl6 
(31) privee commime a une date de mise jour ^gale ^ tl, 

- lors de la troisidme 6tape, k m^moriser (15) par le moyen (24) de 
memorisation de chaque membre la date de mise k jour de la cie (31) priv6e 
commune, 

et dans lequel k chaque revocation au sein du groupe k une date t2, les etapes 
consistent en outre : 

- lors de la sixifeme 6tape, k modifier (16) par le premier moyen (20) de calcul la 
date de mise a jour pour determiner ime date de mise i jour egale k la date t2, 

et dans lequel k chaque signature anonyme d*un message par le membre du 
groupe, ce message devant etre transmis k un destinataire, les etapes consistent en 
outre : 

lors de la huitidme etape, a mettre (11) a jour la cie privee commune 
memorisee par le moyen (24) de memorisation du membre uniquement si en 
outre la date (Di) de mise k jour memorisee par le moyen (24) de 
memorisation du membre est differente de la date (D) de mise a jour de la cie 
(31) privee commune mise & jour par le premier moyen de calcul. 
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3. Precede cryptographique de signature anonyme selon la revendication 1, dans 
lequel les etapes consistent en outre : 

- lors de la troisieme etape, i calculer (3) en outre par le premier moyen de 
calcul, pour chaque membre du groupe, un identifiant (35i) du membre et k 
m^moriser (4) en outre par le moyen (24) de memorisation de chaque membre 
ridentifiant (35i) du membre, 

et ai ce qu*i chaque revocation au sein du groupe les Stapes consistent en outre : 

- k calculer par le premier moyen (20) de calcul pour chaque nouveau membre 
du groupe un identifiant (3Si). 

4. Proc6d6 cryptographique de signature anonyme d'un message selon la 
revendication 3, dans lequel les etapes initiales consistent en outre : 

- lors de la troisieme etape, a m6moriser par un moyen (36) de memorisation 
relie au premier moyen (20) de calcul la cle (34i) secrete symetrique de chaque 
membre, la cl6 (32) publique de groupe, la cl6 (30) publique commune aux 
membres du groupe, chacune des differentes formes chiffirees de la cl6 (31) 
priv6e commune et chacun des identifiants (35i), chaque forme chiffr6e de la 
cl6 (3 1) privee commune etant associ6e i un des identifiants (35i), 

et dans lequel pour chaque modification de la composition du groupe qui 
correspond k une revocation d'un des membres du groupe, le proc6de comprend en 
outre retape qui consiste : 

- k supprimer la cl6 (34i)secrete de ce membre, du moyen (36) de memorisation 
relie au premier moyen (20) de calcul, 

et en ce que pour mettre k jour la cl6 (31) privee commune memorisee par le 
moyen (24) de memorisation du membre le procede comprend en outre les etapes 
qui consistmt : 

- a lire par le moyen (25) de calcul du membre, la forme chiffree de la cie (31) 
privee commune qui est memoris6e dans le moyen (36) de memorisation relie 
au premier moyen (20) de calcul et associ6e a ridentifiant (35i) du membre, 

- a dechiffi-er par le moyen (25) de calcul du membre et k Taide de la cl6 (34i) 
secrete memorisee par le moyen (24) de memorisation du membre, la forme 
chiffree de la cie (31) privee commune precedemment lue. 
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5. Proc6de cryptographique de signature anonyme d*un message selon la 
revendication 1, dans lequel les 6tapes initiales consistent en outre : 

- lors de la troisidme 6tape, k memoriser par un moyen (36) de memorisation 
relie au premier moyen (20) de calcul la cl6 secrdte de chaque membre, la 
paire de cl6s (30, 31) asymetriques commimes aux membres du groupe et la 
cl6 (32) publique de groupe, 

et dans lequel pour chaque modification de la composition du groupe qui 
correspond k une revocation au sein du groupe, le proc^de comprend en outre 
Tetape qui consiste : 

- i supprimer la cle secrete du membre revoqu6, du moyen (36) de 
memorisation reli6 au premier moyen (20) de calcul, 

et en ce que pour mettre a jour la cl6 (31) privte commune memorisee par le 
moyen (24) de memorisation d'un membre le proc^de comprend en outre les 
etapes qui consistent : 

- k lire par le moyen (25) de calcul du membre, les differentes formes chiffrees 
de la cle (31) priv^e commune qui sont m^morisees dans le moyen (36) de 
memorisation relie au premier moyen (20) de calcul, 

- k dechiffrer par le moyen (25) de calcul du membre et a Taide de la cie (34i) 
secrete memorisee par le moyen (24) de m^orisation du membre, les 
dififerentes formes chiffrees de la cie (31) privee conmiune. 

6. Dispositif cryptographique de signature anonyme d'un message numerique, 
caracterise en ce qu'il comprend : 

- un premier moyen (20) de calcul pour calculer (1,2) d'une part au moins une 
paire de cies (30, 31) asymetriques communes aux membres du groupe 
compose de n membres et d'autre part une cie (32) publique de groupe 
associee au groupe, pour calculer (3) pour chaque membre, lors d'une 
interaction avec le moyen (25) de calcul du membre, une cie (33 1) privee de 
groupe, chaque cie (33 1) privee de groupe etant associee a la cie (32) publique 
de groupe et etant differente pour chaque membre du groupe, pour determiner 
(5) autant de cies (34i) secretes symetriques que de membres du groupe et 
pour chiffrer (6) la cie (31) privee commune avec chacune des cies (34i) 
secretes symetriques pour obtenir autant de formes chiffrees de la cl6 (31) 
privee commune que de membres non revoques. 
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7. Dispositif cryptographique de signature anonyme dun message numerique selon la 
revendication 6, dans le dispositif comprend en outre : 

- un moyen (36) de memorisation reli6 au premier moyen (20) de calcul via un 
r^eau (23) de communication pour m^moriser au moins la cl^ (34i) secrete 
sym6trique de chaque membre du groupe, la c\& (32) publique de groupe, la cl& 
(30) publique commune aux membres du groupe et chacune des diffi&rentes 
formes chiffr6es de la cl6 (31) priv6e commune. 

8. Carte (21i) ^ puce destin^e k un membre d'un groupe constitue de n membres et 
destin^e k interagir avec im dispositif selon Tune des revendications 6 et 7, 
caract^rise en ce qu'elle comprend : 

- un moyen (24) de memorisation d'une cl6 (31) privte commune aux membres 
du groupe, d'lme cle (33 1) priv6e de groupe du membre et d'une cl6 (34i) 
secrete sym6trique attribute au membre, 

- un moyen (25) de mise k jour de la cl6 (31) priv6e commune memoris6e par le 
moyen (24) de memorisation du membre pour mettre (11) a jour la cle (31) 
priv6e commune uniquement si une des valeurs chiffrdes de la cle (31) privee 
commune, calculee par le premier moyen (20) de calcul du dispositif, est 
d6chiffrable k Taide de la cle (34 1) secrete sym6trique m6moris6e par le moyen 
(24) de memorisation du membre, 

- un moyen (25) de calcul pour calculer (12) une signature anonyme d'un 
message k Taide de sa cl6 (33 1) priv6e de groupe et pour calculer (13) une 
signature additionnelle de Tensemble compos6 du message et de la signature 
anonyme k I'aide de la cl6 (31) privee commune du membre. 

9. Carte (21i) a puce selon la revendication 8 dans laquelle le moyen (25) de mise k 
jour comprend un moyen de dechiffrement pour d6cliiffrer une des valeurs 
chif&ees de la cl6 (31) priv6e commune, calcul6e (1) par le premier moyen (20) de 
calcul du dispositif, k Taide de la cl6 (34i) secrete sym6trique memorisee par le 
moyen (24) de memorisation du membre. 

10. Syst^me cryptographique de signature anonyme d'lm message num6rique destin6 k 
mettre en oeuvre un precede selon la revendication 1, caracterise en ce qu'il 
comprend : 

au moins un dispositif selon Tune des revendications 6 et 7 et 
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au mo ins autant de cartes (21 1) a puce selon la revendication 8 que de membres 
dans le groupe. 
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